1 范圍

      本標(biāo)準(zhǔn)規(guī)定了數(shù)據(jù)庫(kù)管理系統(tǒng)評(píng)估對(duì)象描述，不同評(píng)估保障級(jí)的數(shù)據(jù)庫(kù)管理系統(tǒng)安全問(wèn)題定義、安全目的和安全要求，安全問(wèn)題定義與安全目的、安全目的與安全要求之間的基本原理。

      本標(biāo)準(zhǔn)適用于數(shù)據(jù)庫(kù)管理系統(tǒng)的測(cè)試、評(píng)估和采購(gòu)，也可用于指導(dǎo)數(shù)據(jù)庫(kù)管理系統(tǒng)的研發(fā)。

      注：本標(biāo)準(zhǔn)規(guī)定的EAL2、EAL3、EAL4級(jí)的安全要求既適用于基于GB/T 18336.1-2015、GB/T 18336.2-2015和GB/T 18336.3-2015的數(shù)據(jù)庫(kù)管理系統(tǒng)安全性測(cè)評(píng)，同樣適用于基于GB17859-1999的數(shù)據(jù)庫(kù)第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)、第三級(jí)安全標(biāo)記保護(hù)級(jí)、第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)的數(shù)據(jù)庫(kù)安全性測(cè)評(píng)，相關(guān)對(duì)應(yīng)關(guān)系參見(jiàn)附錄A的A．1。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 18336.1-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 第1部分：簡(jiǎn)介和一般模型

      GB/T 18336.2-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 第2部分：安全功能組件

      GB/T 18336.3-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 第3部分：安全保障組件

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語(yǔ)

      GB/T 28821-2012 關(guān)系數(shù)據(jù)管理系統(tǒng)技術(shù)要求

3 術(shù)語(yǔ)、定義和縮略語(yǔ)

3.1 術(shù)語(yǔ)和定義

      GB/T 25069-2010、GB/T 18336.1-2015 和 GB/T 28821-2012界定的術(shù)語(yǔ)和定義適用于本文件。

3.2 縮略語(yǔ)

      下列縮略語(yǔ)適用于本文件。

      ACID：原子性、隔離性、一致性和持久性

      CM：配置管理（Configuration Management）

      DBMS：數(shù)據(jù)庫(kù)管理系統(tǒng)（DataBase Management System）

      EAL：評(píng)估保障級(jí)（Evaluation Assurance Level）

      IT：信息技術(shù)（Information Technology）

      JDBC：JAVA數(shù)據(jù)庫(kù)連接（Java DataBase Connectivity）

      LBAC：基于標(biāo)簽的訪問(wèn)控制（Label Based Access Control）

      ODBC：開(kāi)放數(shù)據(jù)庫(kù)連接（Open DataBase Connectivity）

      PP：保護(hù)輪廓（Protection Profile）

      RDBMS：關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)（Relational DataBase Management System）

      SFP：安全功能策略（Security Function Policy）

      SFR：安全功能要求（Security Functional Requirements）

      SQL：結(jié)構(gòu)化查詢語(yǔ)言（Structured Query Language）

      ST：安全目標(biāo)（Security Target）

      TOE：評(píng)估對(duì)象（Target Of Evaluation）

      TSF：TOE安全功能（TOE Security Functionality）

      TSFI：TSF接口（TSF Interface）

      TSP：TOE安全策略（TOE Security Policy）

4 評(píng)估對(duì)象描述

4.1 評(píng)估對(duì)象概述

      本標(biāo)準(zhǔn)評(píng)估對(duì)象（TOE）是指數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS）所包含的管理軟件及其管理的數(shù)據(jù)庫(kù)對(duì)象。

      DBMS所包含的管理軟件應(yīng)提供數(shù)據(jù)庫(kù)語(yǔ)言對(duì)數(shù)據(jù)庫(kù)對(duì)象進(jìn)行定義、操作和管理；提供數(shù)據(jù)庫(kù)控制語(yǔ)言，通過(guò)數(shù)據(jù)模型語(yǔ)義約束條件維護(hù)DBMS運(yùn)行的數(shù)據(jù)完整性；提供數(shù)據(jù)庫(kù)備份、還原與恢復(fù)機(jī)制，保證DBMS運(yùn)行中出現(xiàn)故障時(shí)的數(shù)據(jù)庫(kù)可用性。關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)（RDBMS）應(yīng)提供事務(wù)管理機(jī)制，保證多用戶數(shù)據(jù)庫(kù)并發(fā)操作時(shí)事務(wù)的原子性、隔離性、一致性和持久性（ACID）。

      DBMS主要包括以下組成部分：

      a）數(shù)據(jù)庫(kù)：存放用戶數(shù)據(jù)和TOE安全功能（TSF）數(shù)據(jù)的數(shù)據(jù)文件、存放數(shù)據(jù)庫(kù)事務(wù)處理過(guò)程的日志文件、維護(hù)DBMS運(yùn)行完整性控制文件等物理文件組成。存儲(chǔ)的數(shù)據(jù)庫(kù)對(duì)象包括模式對(duì)象、非模式對(duì)象、數(shù)據(jù)庫(kù)字典對(duì)象等。

      b）數(shù)據(jù)庫(kù)實(shí)例：包括查詢引擎、事務(wù)管理器、數(shù)據(jù)存儲(chǔ)管理器等部件。實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)對(duì)象的定義、管理、查詢、更新、控制等基本功能。

      c）數(shù)據(jù)庫(kù)語(yǔ)言及其訪問(wèn)接口：提供結(jié)構(gòu)化查詢語(yǔ)言（SQL）、開(kāi)放數(shù)據(jù)庫(kù)連接（ODBC）、JAVA數(shù)據(jù)庫(kù)連接（JDBC）等數(shù)據(jù)庫(kù)語(yǔ)言和數(shù)據(jù)庫(kù)開(kāi)發(fā)接口規(guī)范，允許授權(quán)用戶通過(guò)數(shù)據(jù)庫(kù)開(kāi)發(fā)接口定義數(shù)據(jù)庫(kù)結(jié)構(gòu)、訪問(wèn)和修改數(shù)據(jù)庫(kù)對(duì)象數(shù)據(jù)、展現(xiàn)DBMS運(yùn)行相關(guān)配置參數(shù)，以及對(duì)用戶數(shù)據(jù)和DBMS運(yùn)行相關(guān)數(shù)據(jù)執(zhí)行各種維護(hù)操作。

      d）DBMS運(yùn)行維護(hù)輔助工具：提供數(shù)據(jù)庫(kù)實(shí)例的啟動(dòng)與關(guān)閉，數(shù)據(jù)庫(kù)或數(shù)據(jù)文件的聯(lián)機(jī)、脫機(jī)、打開(kāi)與關(guān)閉，數(shù)據(jù)庫(kù)檢查點(diǎn)控制，數(shù)據(jù)庫(kù)日志歸檔、外部數(shù)據(jù)導(dǎo)入等DBMS運(yùn)行維護(hù)輔助工具或接口

4.2 評(píng)估對(duì)象安全特性

      DBMS提供通過(guò)多種安全控制措施保證其管理數(shù)據(jù)資產(chǎn)安全。TOE安全特性可由DBMS本身直接提供，也可通過(guò)DBMS運(yùn)行的信息技術(shù)（IT）環(huán)境間接支持。

      DBMS安全特性主要包括：

      a）用戶認(rèn)證：用戶標(biāo)識(shí)只有通過(guò)身份鑒別后才能通過(guò)TOE的訪問(wèn)控制引擎控制授權(quán)用戶對(duì)數(shù)據(jù)庫(kù)對(duì)象的訪問(wèn)和操作。

      b）用戶授權(quán)：每個(gè)授權(quán)用戶有一組數(shù)據(jù)庫(kù)安全域特性，可決定用戶下列安全域特性內(nèi)容：可用特權(quán)和授權(quán)角色、可用存儲(chǔ)空間（如表空間）限額、可用系統(tǒng)資源（如共享緩存、數(shù)據(jù)讀寫(xiě)容量、處理器使用）限制等安全屬性。

      c）角色管理：提供安全管理員、安全審計(jì)員、數(shù)據(jù)庫(kù)管理員等缺省的數(shù)據(jù)庫(kù)角色。授權(quán)管理員也可以面向授權(quán)用戶配置其訪問(wèn)控制策略、定義用戶標(biāo)識(shí)與鑒別方式、設(shè)置數(shù)據(jù)庫(kù)審計(jì)策略等數(shù)

據(jù)庫(kù)安全管理功能。

      d）訪問(wèn)控制：在確認(rèn)授權(quán)用戶與授權(quán)管理員身份以及他們安全域特性基礎(chǔ)上，TSF實(shí)施授權(quán)用戶與授權(quán)管理員的授權(quán)策略，控制主體訪問(wèn)客體活動(dòng)。例如：自主訪問(wèn)控制、基于角色的訪問(wèn)控制、基于標(biāo)簽的訪問(wèn)控制等。

      e）安全審計(jì)：提供與TSF相關(guān)的數(shù)據(jù)庫(kù)操作是否被記錄到數(shù)據(jù)庫(kù)審計(jì)文件的機(jī)制。審計(jì)蹤跡記錄可以存儲(chǔ)在DBMS審計(jì)表或外部IT環(huán)境的系統(tǒng)文件中。TSF應(yīng)提供審計(jì)記錄的安全保護(hù)。

      f) 備份恢復(fù)：DBMS運(yùn)行出現(xiàn)故障后，利用TSF數(shù)據(jù)庫(kù)備份與恢復(fù)機(jī)制實(shí)現(xiàn)對(duì)備份數(shù)據(jù)的還原，在數(shù)據(jù)庫(kù)還原的基礎(chǔ)上利用數(shù)據(jù)庫(kù)日志進(jìn)行數(shù)據(jù)庫(kù)恢復(fù)，重新建立一個(gè)完整的數(shù)據(jù)庫(kù)。

      g）數(shù)據(jù)加密：提供對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行加密存儲(chǔ)、傳輸或處理，以及密鑰管理服務(wù)接口功能，從而保證用戶數(shù)據(jù)的保密性。

      h）資源限制：防止授權(quán)用戶無(wú)控制地使用主機(jī)處理器（CPU）、共享緩存、數(shù)據(jù)庫(kù)存儲(chǔ)介質(zhì)等數(shù)據(jù)庫(kù)服務(wù)器資源，限制每個(gè)授權(quán)用戶/授權(quán)管理員的并行會(huì)話數(shù)等功能。

      注：DBMS軟件及其管理數(shù)據(jù)資產(chǎn)的安全性不是孤立的。在生產(chǎn)環(huán)境下，操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)與硬件等DBMS運(yùn)行IT環(huán)境和DBMS一起共同構(gòu)筑起TOE的安全體系。安全目標(biāo)（ST）作者在描述TOE時(shí)明確說(shuō)明和標(biāo)識(shí)評(píng)估DBMS的體系結(jié)構(gòu)與這些IT環(huán)境各個(gè)組件之間的相互關(guān)系。

4.3 評(píng)估對(duì)象部署方式說(shuō)明

      DBMS的任何內(nèi)部和外部實(shí)體若要獲取TOE管理的數(shù)據(jù)資產(chǎn)，應(yīng)首先滿足與TOE及運(yùn)行環(huán)境相應(yīng)的安全策略。TOE運(yùn)行環(huán)境對(duì)象可能包括多個(gè)安全控制組件，涉及設(shè)備物理安全、環(huán)境物理安全、系統(tǒng)物理安全、人員安全管理等多種安全策略。這些運(yùn)行環(huán)境安全策略使DBMS軟件及其管理的數(shù)據(jù)庫(kù)免受DBMS運(yùn)行環(huán)境中的安全威脅。

      本標(biāo)準(zhǔn)可用來(lái)評(píng)估多種部署結(jié)構(gòu)的DBMS安全性，包括但不限于下列體系結(jié)構(gòu)：

      a）集中式體系結(jié)構(gòu)：DBMS軟件和數(shù)據(jù)庫(kù)應(yīng)用程序都安裝運(yùn)行在一個(gè)主機(jī)上，用戶只能通過(guò)應(yīng)用終端發(fā)出存取數(shù)據(jù)庫(kù)訪問(wèn)請(qǐng)求或管理命令，由通信線路傳輸給主機(jī)，主機(jī)上的數(shù)據(jù)庫(kù)實(shí)例響應(yīng)并處理后，再將處理結(jié)果通過(guò)通信線路返回給用戶終端。

      b）客戶/服務(wù)器體系結(jié)構(gòu)：客戶端數(shù)據(jù)庫(kù)應(yīng)用和服務(wù)器端數(shù)據(jù)庫(kù)實(shí)例通過(guò)網(wǎng)絡(luò)連接進(jìn)行通信，客戶端發(fā)送數(shù)據(jù)庫(kù)訪問(wèn)請(qǐng)求或管理命令，展示數(shù)據(jù)庫(kù)實(shí)例返回的數(shù)據(jù)，服務(wù)器端安全地執(zhí)行用戶數(shù)據(jù)庫(kù)訪問(wèn)請(qǐng)求或管理命令。前端應(yīng)用可以是基于瀏覽器實(shí)現(xiàn)，通過(guò)遠(yuǎn)程Web服務(wù)器或應(yīng)用服務(wù)器實(shí)現(xiàn)與數(shù)據(jù)庫(kù)服務(wù)器的連接，由遠(yuǎn)程服務(wù)器負(fù)責(zé)與數(shù)據(jù)庫(kù)服務(wù)器交互。

      c）分布式數(shù)據(jù)庫(kù)體系結(jié)構(gòu)：數(shù)據(jù)節(jié)點(diǎn)分別保存在多個(gè)物理上相互獨(dú)立的站點(diǎn)數(shù)據(jù)庫(kù)服務(wù)器上，這些站點(diǎn)之間的數(shù)據(jù)庫(kù)服務(wù)器通過(guò)網(wǎng)絡(luò)連接，協(xié)同提供分布式數(shù)據(jù)庫(kù)數(shù)據(jù)訪問(wèn)服務(wù)。用戶可以對(duì)本地服務(wù)器中的數(shù)據(jù)節(jié)點(diǎn)執(zhí)行某些數(shù)據(jù)庫(kù)訪問(wèn)請(qǐng)求或管理命令（局部應(yīng)用），也可以對(duì)其他站點(diǎn)上的數(shù)據(jù)節(jié)點(diǎn)執(zhí)行某些數(shù)據(jù)庫(kù)訪問(wèn)請(qǐng)求或管理命令（全局應(yīng)用或分布應(yīng)用）。

      注：本標(biāo)準(zhǔn)定義了一個(gè)必要的數(shù)據(jù)庫(kù)管理員角色（授權(quán)管理員），并允許ST作者定義更多的授權(quán)管理員角色。當(dāng)然對(duì)某些DBMS，提供的管理角色數(shù)量和角色責(zé)任的能力，以及這些角色的分配能力在TOE實(shí)現(xiàn)中都預(yù)先存在。TSF提供這些系統(tǒng)權(quán)限或角色建立、分配、撤銷等授權(quán)管理功能。

5 安全問(wèn)題定義

5.1 數(shù)據(jù)資產(chǎn)

      DBMS需要保護(hù)的數(shù)據(jù)資產(chǎn)包括：

      a） TSF數(shù)據(jù)：存儲(chǔ)在TOE中數(shù)據(jù)庫(kù)字典數(shù)據(jù)，面向數(shù)據(jù)庫(kù)應(yīng)用的數(shù)據(jù)庫(kù)對(duì)象定義數(shù)據(jù)、DBMS運(yùn)行統(tǒng)計(jì)數(shù)據(jù)、數(shù)據(jù)庫(kù)邏輯存儲(chǔ)與物理存儲(chǔ)管理數(shù)據(jù)等。

      b）用戶數(shù)據(jù)：存儲(chǔ)在TOE中的非TSF數(shù)據(jù)的數(shù)據(jù)，一般指與用戶數(shù)據(jù)庫(kù)應(yīng)用相關(guān)的、存儲(chǔ)在數(shù)據(jù)庫(kù)中的各種數(shù)據(jù)庫(kù)對(duì)象數(shù)據(jù)，如表數(shù)據(jù)、索引數(shù)據(jù)、物化視圖數(shù)據(jù)、語(yǔ)義約束條件、業(yè)務(wù)過(guò)程等來(lái)自用戶數(shù)據(jù)庫(kù)應(yīng)用程序的數(shù)據(jù)。

      c）安全運(yùn)行數(shù)據(jù)：TOE中的事務(wù)日志數(shù)據(jù)、安全審計(jì)數(shù)據(jù)等，包括存儲(chǔ)在DBMS外部，但由DBMS維護(hù)的數(shù)據(jù)庫(kù)實(shí)例、數(shù)據(jù)庫(kù)配置等控制TOE安全運(yùn)行相關(guān)參數(shù)配置數(shù)據(jù)。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買(mǎi)標(biāo)準(zhǔn)正版。